xDSL.at

[Tom]

hi

folgende situation:

1. offene pptp verbindung (eingehend am port 1047) local address 10.0.0.140

soweit so gut, man macht per www-browser ne anfrage an irgendeine site im netz (immer noch www Port:80),, ganau darin besteht jetzt mein problem!

und meine theorie!
die anfrage: ist damit das ausgehende port 80 gemeint ??? über die OUTPUT-chain?
zumindest habe ich das ganze mit netstat -an mal ausgelesen --> ports auf localen rechner werden über 1100 geöffnet um packete zu empfangen...
jetzt nicht lachen, aber ich habe bisher immer angenommen das, wenn eine www anfrage erfolgt diese per port 80 auch ankommt!!

tja darin besteht jetzt mein dilemma !! denn es würd ja jetzt nichts nützten in der INPUT chain nach TCP port 80 zu suchen.....

[kogel]

Hi!

hmmm... kann deinem problem nicht ganz folgen, klingt ein bisschen verwirrt *g*

aber ich nehme mal an du meinst damit welche ports http verbindungen benutzen, oder ?

also wenn du eine http anfrage an irgendeine(n) website (internet-server) machst, oeffnet dein computer irgendeinen port ueber (ca) 1024 (port nummern werden dann der reihenfolge nach vergeben) und sendet diese anfrage an den port 80 (wenn standard-ports verwendet werden) des webservers. also dein computer verwendet ports ueber 1024 und der webserver den port 80 zur kommunikation.

installier dir mal einen kleinen paketsniffer, dann siehst du ganz schoen wie so ein http-request ablaeuft...

hoffe dir geholfen zu haben (falls ich dein problem richtig interpretiert habe)...

gruss
kogel

[Tom]

danke für deine schnelle hilfe!

das mit dem sniffer hab ich mal ausprobiert, du hast recht damit kann man
recht gut verfolgen wie die requests ablaufen....

nee mich hat nur das firewall script eines freundes recht stutzig gemacht, es ist leider für statische ips geschrieben worden, und musste geändert werden,..
und da ich ja nun auch nicht gleich ein veteran in solchen dingen bin , und das ganze auch ein wenig verstehen will, hab ich mich halt hingehockt und das ganze mal untersucht....
da bin ich in der input-chain auf dieses commando gestossen:

iptables -A INPUT -p TCP -s 0/0 --dport 80 -j allowed

klar, tcp packete können nicht "gescannt" werden in der chain allowed, da
am --dport 80 nie ein packet ankommen wird!
wenn muss das ganze schon --sport 80 lauten um gefiltert werden zu können *g*

-wobei eine filterung auf --dports in der input chain, wohl ein lebenswerk auf ewig darstellen würde *lachundlach*

[quay]

"iptables -A INPUT -p TCP -s 0/0 --dport 80 -j allowed"
das hier ist eine rule die das betreiben eines lokalen webservers ermöglicht.......!

was verstehst du unter "gescannt werden" ???

und wer sagt dass am dport 80 nie ein paket ankommen wird ?...wenn er einen webserver wie apache betreibt dann kommen da sehr wohl pakete an...

"wenn muss das ganze schon --sport 80 lauten um gefiltert werden zu können *g*"

was soll das heissen ?......hier wird gar nichts gefiltert !.....(ich verstehe hierbei unter "filtern" dass du den port sperrst !)
und mit dieser rule wird nichts gesperrt.....sondern hier wird der lokale port 80 für anfragen von aussen - ich sag mal "offen gehalten", offen natürlich nur wenn hinter diesem port ein dienst steht.......sonst ist er auch mit dieser rule zu.....

"-wobei eine filterung auf --dports in der input chain, wohl ein lebenswerk auf ewig darstellen würde *lachundlach*"

kann echt nicht nachvollziehen was du damit meinst......sorry....

--quay

[Tom]

irgendwie drück ich mich heute so aus, dass mich keiner versteht *g*

@ quay
klar ein apache webserver muss dann logischer weise auf port 80 bei mir laufen, hast recht, my fault!!!!

tja, was ich mit filterung (scannen) versteh, ich versuchs so zu erklären

--------------------------------------
#!/bin/sh
# dynip fehlt jetzt
INET_IFACE="ppp0"
LAN_IFACE="eth1"
IPTABLES="/sbin/iptables"

# setze neue chains
$IPTABLES -N tcp_packets
$IPTABLES -N allowed
# chain allowed
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP

# chain tcp_packets
$IPTABLES -A tcp_packets -p TCP -s 0/0 --sport 21 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --sport 22 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --sport 80 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --sport 113 -j allowed

#setze regeln der input chain
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets$IPTABLES -A INPUT -p ALL -d $DYNIP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p ALL -d 10.0.0.0/24 -j ACCEPT
$IPTABLES -A INPUT -p ALL -d 192.168.0.0/24 -j ACCEPT
$IPTABLES -A INPUT -p ALL -d 127.0.0.1/24 -j ACCEPT

#set policy
$IPTABLES -P INPUT DROP
echo settung up firewall for input chain
-----------------------

und da war der wurm in der ganzen sache, den die packete wurden von der neuen chain tcp_packerts nicht gescannt (kontrolliert), da sie auf einen --dport zeigten und nicht auf --sport.....
jetzt klar was ich meinte ???

mfg
tom

[quay]

jetzt klar was ich meinte ???
nein.....nicht wirklich, denn mit der konf die du da oben gepostet hast, werden ALLE pakete die über das ppp interface kommen mit den rules deiner tcp_packets chain "gescannt" oder überprüft.....
vollkommen egal ob da jetzt --sport oder --dport steht.

das was du meinst ist folgendes :

wenn du da in deiner tcp_packets chain in den rules die du da hast (vorausgesetzte das sind alle und du hast sonst keine) --dport stehen hast, dann würdest du damit zugriff auf lokale dienste erlauben.
das was du machen willst, ist aber was anderes --> du willst dienste die andere rechner anbieten nutzen.
und dazu gehören nun mal 2 dinge :

1) gehen alle anfragen (wie zb. ein request an einen remote web server) über die OUTPUT chain raus, die du anscheinend auf ACCEPT gesetzt hast.
2) gehen alle antworten von diesen diensten (denn wenn du von einem webserver eine website anforderst, dann muss doch auch irgendwie info auf deinen rechner gelangen) über die input chain rein.....und DESHALB muss da --sport stehen.
denn wenn das nicht dastehen würde......dann könntest du weder im web surfen noch ftp oder sonstwas benutzen......

--quay

[Tom]

<HTML>$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
$IPTABLES -A INPUT -p ALL -d $DYNIP -m state --state
ESTABLISHED,RELATED -j ACCEPT

sorry diese zwei befehle ham sich irgendwie überschlagen *lol*

jaja klar, ich hab ja nur ein kleines input script gepostet, um zu veranschaulichen was ich mit 'scannen' meine, klar die output fehlt... *g*

>...werden ALLE pakete die über das ppp interface kommen mit den rules deiner tcp_packets chain "gescannt...
nein nur tcp-packete werden in die tcp_packets chain gelassen

> vollkommen egal ob da jetzt --sport oder --dport steht
nein denn wenn auf das tcp packet s 0/0 und -sport 80 zutrifft wird es weiter
"gescannt" in der allow-chain --> die es dann droppt wenn die 3 abfragen nicht zustimmen.

wenn das tcp packet nicht in die tcp_packets kette passt fällt wieder raus zur INPUT chain wos dann zum letzen mal geprüft wird.
$IPTABLES -A INPUT -p ALL -d $DYNIP -m state --state
ESTABLISHED,RELATED -j ACCEPT
(wobei $DYNIP für meine ip steht)
wenn es immer noch nicht zutrifft wirds von der policy gekickt *g*

tja mag schon sein, vielleicht gibt es einige unterschiede zw. ipchains iptables?
naja wie auch immer, mein problem waren die --dports die einfach nur durch
--sports ersetzt gehörten.....
</HTML>

[quay]

hauptsache es geht wieder.....

[Tom]

hey ich hätte da so ne idee,..
wie wärs wenn wir ( ! alle die nicht wollen) gemeinsam ne firewall zusammen
stellen?? wär doch ne gute sache, so ne universal firewall, für jedermann!!

[quay]

es gibt keine universal firewall für jedermann.......
da jeder andere anforderungen hat.....der eine braucht die dienste.....der andere nicht......der eine betreibt einen server.....der andere nicht.......weiss nicht ob das so viel sinn hätte.......
mehr sinn hätte vielleicht das ipchains howto auf deutsch zu übersetzen (falls es das nicht eh schon gibt) bzw. verständlicher zu schreiben..
aber nachdems howtos und guides im internet zu allen themen eh schon en masse gibt.....weiss ich nicht ob das nicht verschwendete liebesmüh ist......

--quay

[Tom]

hello

naja was solls, ich wollt nur mal eure meinungen zu dem ganzen hören,...
hätt ja sein können, das irgendwer interessiert dran ist *lol*

mfg
tommy